Ejemplo de implementación mapa de riesgos

TABLA DE CONTENIDO

1. Presentación 1

• Identificación de los riesgos rutinarios y proyctados 1

• Análisis del riesgo 3

• Priorización de los riesgos 4

• Determinación del nivel del riesgo 6

• Manejo del riesgo 6

• Plan de manejo de riesgos 7

• Elaboración del mapa de riesgos 8

• Monitoreo 8

• Autoevaluación 8

1

Metodología de implementación del Mapa de Riesgo en la Universidad Tecnológica de Pereira

1. Presentación La construcción del mapa hace parte de todo el proceso de administración del riesgo. Entendido éste como todo aspecto o suceso que amenace el buen cumplimiento de la misión o de los procesos rutinarios de la institución. El objetivo estratégico es elevar la capacidad y la calidad en el funcionamiento de la institución, garantizando la eficiencia y la eficacia de los procesos organizacionales, involucrándose con sus componentes como un módulo más del sistema integral de medición de la gestión, al proceso de mejoramiento continuo en la Universidad. • Identificación de los riesgos rutinarios y proyctados 1. Consolidar los tres grupos Institucionales de los responsables de coordinar con su

Dependencia o Facultad el proceso de construcción del mapa de riesgos –riesgos inherentes a los procesos de rutina y al plan de desarrollo -.

Aquí es muy importante el compromiso y respaldo de la alta dirección, de tal manera que se nombre un representante de la facultad o dependencia y se fomente en él un alto grado de participación en el proceso de construcción del mapa de riesgos y exista un alto grado de interacción y retroalimentación entre los grupos conformados, con la Oficina de Control Interno y en términos generales con la metodología establecida.

2. Capacitar a los tres grupos en los conceptos básicos, manejo de formatos y recolección de

información.

Definición de lo que es riesgo, manual de procesos y procedimientos, enfoque por resultados, cómo se encuentra constituido el plan de desarrollo de la universidad, qué es rutinario, qué es proyectado, qué es una consecuencia de la ocurrencia de un riesgo, qué es probabilidad de ocurrencia de un riesgo, impacto, análisis cuantitativo, análisis cualitativo y de todos aquellos conceptos fundamentales en el manejo de los riesgos a fin de unificar criterios al interior de la organización.

3. Cada integrante de los grupos debe tener, como responsabilidad principal, la de socializar

los aspectos en los que se le capacite con todos los integrantes de la dependencia o Facultad a la que hacen parte, por tanto se les denominará grupo coordinador y multiplicador del proceso de construcción del mapa de riesgos institucional.

4. Establecimiento de temas y fechas de capacitación frente a la determinación, valoración de

los riesgos y el manejo de los riesgos.

2

5. Establecer el tiempo en el cual se debe recolectar toda la información concerniente a los riesgos.

6. Claro establecimiento de los procesos que se llevan a cabo en cada dependencia o

Facultad. Clasificándolos en misionales y de soporte y gestión.

Para éste efecto, el responsable de cada dependencia del área administrativa debe encontrarse en capacidad de leer y analizar los manuales de procesos y procedimientos que le corresponden, así como validar los riesgos consolidados en ellos. Éstos serán los primeros riesgos a establecer en el formato de identificación de riesgos –formato No 1-. Una vez se tengan validados y consolidados se debe establecer si en efecto son los únicos riesgos que existen en el desarrollo de cada uno de los procesos, en caso de no ser así, se deberá realizar el inventario de los riesgos adicionales y se consolidarán en el mismo formato. De los manuales de procesos y procedimientos básicamente se extrae la siguiente información que satisface algunos aspectos del formato No 1: Proceso y/o procedimiento en el que se encuentra el riesgo, el analista es quien debe tomar la decisión con el responsable del proceso o procedimiento si el riesgo es de carácter interno o externo y los controles existentes al respecto. Con relación a los controles existentes, en algunos casos es posible que éstos no se encuentren establecidos, lo cual se debe indicar. La descripción del riesgo y las posibles consecuencias que trae a la dependencia, a la institución, al logro del resultado, al procedimiento o al proceso. Éste aspecto debe ser analizado y concertado entre el coordinador del proceso y el responsable del procedimiento. Es importante aclarar que en el área académica, en donde no existen manuales de procesos y procedimientos actualizados dentro del enfoque de resultados, el Coordinador, bajo la asesoría de la Oficina de Control Interno, debe identificar los riesgos inherentes al desarrollo de las actividades que rutinariamente son desarrolladas en dicha área. Se deben, por tanto, identificar los resultados que diariamente deben lograr en cumplimiento de las actividades académicas y los riesgos que se interponen para alcanzar esos resultados. Es mucho más compleja la identificación de riesgos de rutina en el área académica, por lo tanto, es posible que lo que se deba desarrollar sea el proceso de construcción de los manuales de procesos y procedimientos dentro del enfoque de los resultados en donde de igual manera quedan identificado los riesgos inherentes a la rutina.

Con el total diligenciamiento del formato No 1 se puede decir que los riesgos inherentes a los procesos de la rutina se han identificado y establecido el estado actual. Exactamente igual es el proceso de identificación de los riesgos inherentes a las actividades proyectadas, es decir; al logro del plan de desarrollo Institucional. Para éste efecto se hará uso del formato No 2. Dentro de los tiempos estimados se considera que los formatos No 1 y No 2 deben encontrarse consolidados en diciembre de 2004, así los aspectos que se deben continuar serán objeto de desarrollo para las próximas vigencias.

3

Una vez se tienen identificados todos los riesgos existentes en la Universidad –por dependencia académica o administrativa- se debe pasar a su análisis. Dentro de los tiempos establecidos, las fases mencionadas a continuación serán objeto de trabajo durante el año 2.005, en caso de que los tiempos establecidos sean benéficos para el proceso se podrán abordar durante la vigencia de 2004. • Análisis del riesgo El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con base en la información ofrecida por los mapas elaborados en la etapa de identificación, con el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información sobre el mismo, de su origen y la disponibilidad de los datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas o una combinación de las dos. Se han establecido dos aspectos para realizar el análisis de los riesgos identificados: Probabilidad: la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya presentado nunca. Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. A continuación se presentan algunos ejemplos de las escalas que pueden implementarse para analizar los riesgos. Análisis cualitativo: se refiere a la utilización de formas descriptivas para presentar la magnitud de consecuencias potenciales y la posibilidad de ocurrencia. Se diseñan escalas ajustadas a las circunstancias de acuerdo a las necesidades particulares de cada organización o el concepto particular del riesgo evaluado. Escala de medida cualitativa de PROBABILIDAD: se deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de ella los mismos ítems, por ejemplo: ALTA: es muy factible que el hecho se presente. MEDIA: es factible que el hecho se presente. BAJA: es muy poco factible que el hecho se presente. Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las categorías y la descripción, por ejemplo: ALTO: Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad MEDIO: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad BAJO: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad Análisis cuantitativo: este análisis contempla valores numéricos; la calidad depende de lo exactas y completas que estén las cifras utilizadas. Básicamente se refiere a la construcción de indicadores que reflejen tanto la probabilidad de ocurrencia como el impacto que pueden causar. La forma en la cual la probabilidad y el impacto son expresados y las formas por las

4

cuales ellos se combinan para proveer el nivel de riesgo puede variar de acuerdo al tipo de riesgo. Con base en los ejemplos anteriormente expuestos, el equipo líder en la administración del plan de manejo de riesgos es el encargado de establecer la metodología dentro de la cual se establecerán las probabilidades y los impactos a cada uno de los riesgos y la escala de valoración de acuerdo a la naturaleza de la Universidad y a las características de los procesos y procedimientos. Con los planteamientos realizados hasta el momento se debe por tanto establecer la información con la que se llenarán los formato No 3 Y No 4. • Priorización de los riesgos Una vez realizado el análisis de los riesgos con base en los aspectos de probabilidad e impacto, se recomienda utilizar la matriz de priorización que permite determinar cuales requieren de un tratamiento inmediato. Esta matriz se realiza en primera instancia al interior de cada una de las facultades, centros o dependencias. Los resultados que de aquí se deriven servirán para socializarlos con el grupo liderador del proceso de administración de los riesgos de la Universidad. De esta manera existirán tantas matrices de priorización como facultades, centros y dependencias existan en la institución, tanto en el área de lo proyectado como en el área de lo rutinario.

P R O B A I L I D A D

D E

O C U R R E N C I A

IMPACTO

ALTA

BAJA

BAJO ALTO

A B

C D

MATRIZ DE PRIORIZACIÓN DE RIESGOS PARA CADA UNA DE LAS FACULTADES, CENTROS O DEPENDENCIAS DE LA UNIVERSIDAD

5

Una vez se tienen las diferentes matrices de priorización, se deben extraer todos los riesgos que se encuentren en el cuadrante B, los cuáles por su impacto y probabilidad serán en un primer momento el conjunto de riesgos sobre los que se deben emprender acciones inmediatamente. Cuando se ubican los riesgos en la matriz se define:

� Cuadrante B: Allí se ubican aquellos riesgos de alto impacto y alta probabilidad y que por tanto requieren de la implementación de acciones a fin de aminorarlos tanto como se pueda o eliminarlos.

� Cuadrante C: Se encontrarán ubicados aquí los de baja probabilidad y bajo impacto. Estos no requieren que se emprendan acciones inmediatas pero sí que se dejen establecidos a fin de hacerles seguimiento a través del tiempo.

� Cuadrante A y D: Estos riesgos deben ser tenidos en cuenta al iniciar cada año en los procesos anteriormente mencionados a fin de establecer el estado en el que se encuentren. Es posible que se mantengan en iguales condiciones o que haya aumentado su impacto y probabilidad de ocurrencia, de donde se derivaría la implementación de acciones sobre ellos.

P R O B A I L I D A D

D E

O C U R R E N C I A

IMPACTO

ALTA

BAJA

BAJO ALTO

A B

C D

MATRIZ DE PRIORIZACIÓN DE RIESGOS PARA PLAN DE DESARROLLO INSTITUCIONAL

6

• Determinación del nivel del riesgo La determinación del nivel de riesgo es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para adelantar esta etapa se deben tener muy claros los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones. De la matriz de priorización, debe resultar el orden sistemático de los riesgos, enumerados de mayor a menor, interrelacionando probabilidad Vs impacto. Ahora se deben determinar los controles que existen en la institución para la eliminación o disminución del riesgo. De donde se puede obtener que: � Nivel 1: riesgos con una necesidad de priorización alta sin controles. Por tanto serán los de

primer nivel y por tanto prioriza la implementación de acciones de mejoramiento. � Nivel 2: riesgos que requieren una priorización media pero no tienen controles. � Nivel 3: riesgos que requieren una priorización baja pero no tienen controles. � Nivel 4: riesgos que se encuentran con una necesidad de priorización alta, media o baja y

tienen los controles requeridos. • Manejo del riesgo Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo llega a ser en vano, si no culmina en un adecuado manejo y control de los mismos, definiendo acciones factibles y efectivas, tales como la implantación de políticas, estándares, procedimientos y cambios físicos entre otros, que hagan parte de un plan de manejo1. Para el manejo del riesgo se pueden tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. Evitar el riesgo: es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales de mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

1 DAFP, Instructivo para la elaboración del informe ejecutivo anual sobre la evaluación del Sistema de Control Interno Institucional, documento preliminar, agosto de 2001

7

Reducir el riesgo: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Ejemplo: Planes de contingencia. Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros; se traslada el riesgo a otra parte o físicamente se traslada a otro lugar. Esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro. Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia. Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Una vez establecidos cuales de los anteriores manejos del riesgo se van a concretar, estos deben evaluarse con relación al beneficio-costo para definir, cuales son susceptibles de ser aplicados y proceder a elaborar el plan de manejo de riesgo, teniendo en cuenta, el análisis elaborado para cada uno de los riesgos de acuerdo con su impacto, probabilidad y nivel de riesgo. Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. Así mismo, es importante construir indicadores, entendidos como los elementos que permiten determinar de forma práctica el comportamiento de las variables de riesgo, que van a permitir medir el impacto de las acciones. • Plan de manejo de riesgos Para elaborar el plan de manejo de riesgos es necesario tener en cuenta si las acciones propuestas reducen la materialización del riesgo y hacer una evaluación jurídica, técnica, institucional, financiera y económica, es decir considerar la viabilidad de su adopción. La selección de las acciones más convenientes para la entidad se puede realizar con base en los siguientes factores: � Nivel del riesgo � Balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

8

Una vez realizada la selección de las acciones más convenientes se debe proceder a la preparación e implementación del plan, identificando responsabilidades, programas, resultados esperados, medidas para verificar el cumplimiento y las características del monitoreo. El éxito de la implementación del plan requiere de un sistema gerencial efectivo el cual tenga claro el método que se va a aplicar. Es importante tener en cuenta que los objetivos están consignados en la planeación anual de la entidad. Por tal razón se sugiere incluir el plan de manejo de riesgos dentro de la planeación, con el fin de implementar las acciones hacia el logro de los objetivos. • Elaboración del mapa de riesgos El mapa de riesgos puede ser entendido como la representación o descripción de los distintos aspectos tenidos en cuenta en la valoración de los riesgos que permite visualizar todo el proceso de la valoración del riesgo y el plan de manejo de estos. El mapa de riesgos del plan de desarrollo debe quedar por tanto con la información que se muestra en el formato No 5 y el mapa de riesgos de los procesos de rutina es tal y como se muestra en el formato No 6. • Monitoreo Una vez diseñado y validado el plan para administrar los riesgos, es necesario monitorearlo permanentemente teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo es esencial para asegurar que dichos planes permanecen vigentes y que las acciones están siendo efectivas. Evaluando la eficiencia en la implementación y desarrollo de las acciones de control, es esencial adelantar revisiones sobre la marcha del plan de manejo de riesgos para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. El monitoreo debe estar a cargo de la Oficina de Control Interno y su finalidad principal será la de aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función determinará conjuntamente con las diferentes dependencias, facultades o centros los aspectos que se encuentran débiles en cuanto al manejo de los riesgos y hará sugerencias para el mejoramiento y tratamiento de los riesgos detectados. • Autoevaluación La evaluación del plan de manejo de riesgos se debe realizar con base en los indicadores de gestión diseñados para tal fin y los resultados de los monitoreos aplicados en diferentes períodos. Así mismo, se evaluará como ha sido el comportamiento del riesgo y de qué manera a través del tiempo se van presentado nuevos riesgos que deban ser administrados.

9

9. INDICADORES

8.

CRONOGRAMA

7

RESPONSABLES

6 ACCIONES

5. NIVEL DE RIESGO: PROBABILIDAD Vs

CONTROLES

4 CONTROL EXISTENTE

3 PROBABILIDAD DE

OCURRENCIA

2 IMPACTO: CONSECUENCIA DEL

RIESGO

1 RIESGO

MAPA DE RIESGO UTP

M O N I T O R E O

10

xAREA DE SOPORTE Y GESTIÓNAREA MISIONAL RESPONSABLE DEL MAPA DE RIESGO:

CONTROLES EXISTENTESRIESGOS INTERNOS

1, Archivar información de hoja de vida de un estudiante en hoja de vida de otro estudiante

ARCHIVO DE HOJAS DE VIDA DE ESTUDIANTES: Riesgo interno 2 hace

parte de este proceso en su procedimiento hojas de vida de personal

activo y retirado

DEPENDENCIA: FACULTAD: CENTRO: REGISTRO Y CONTROL ACADEMICO FECHA:

Formato No 1UNIVERSIDAD TECNOLÓGICA DE PEREIRA

Identificación de riesgos en los procesos y procedimientos de rutina

6, No realizar la publicación del

calendario en la fecha correspondiente.

CALENDARIO ACADEMICO: Riesgo No 4 y No 5 hacen parte de este proceso en su procedimiento elaboración de la propuesta

de calendario académico. Riesgo No 6 hace parte del procedimiento

modificación y ajustes al calendario académico UTP.

Revisión y Aprobación del Consejo Académico

5, Paros de docentes y estudiantes que puedan dejar sin vigencia el calendario académico.

La propuesta del calendario académico es revisada y aprobada

por el Consejo Académico.



3, Calendario mal elaborado con cruce de

fechas4. Mala programación

del calendario académico con cruce

de fechas.

2, Información registrada

erróneamente en el sistema y diferente a la contenida en los documentos del

DESCRIPCIÓNPOSIBLES

CONSECUENCIAS

RIESGOS PROCESOS DE RUTINA

RIESGOS EXTERNOSPROCESO

11





Identificación de riesgos en el Plan de Desarrollo Institucional

DESCRIPCIÓNPOSIBLES

CONSECUENCIAS

PLAN DE DESARROLLO INSTITUCIONAL

RIESGOS EXTERNOSPROYECTOS

OBJETIVO INSTITUCIONAL: 5. MODERNIZACIÓN ADMINISTRATIVA -PLAN DE DESARROLLO DEL CENTRO -

1, Sistematización de información especializada

2, Promoción institucional de oferta de programas de pregrado

3, Microfilmación del archivo de hojas de vida académica

12



1, Archivar información de hoja de vida de un estudiante en hoja de vida de otro estudiante

ARCHIVO DE HOJAS DE VIDA DE ESTUDIANTES: Riesgo interno 2 hace

parte de este proceso en su procedimiento hojas de vida de personal

activo y retirado



Identificación de riesgos en los procesos y procedimientos de rutina

6, No realizar la publicación del

calendario en la fecha correspondiente.

CALENDARIO ACADEMICO: Riesgo No 4 y No 5 hacen parte de este proceso en su procedimiento elaboración de la propuesta

de calendario académico. Riesgo No 6 hace parte del procedimiento

modificación y ajustes al calendario académico UTP.

Revisión y Aprobación del Consejo Académico

5, Paros de docentes y estudiantes que puedan dejar sin vigencia el calendario académico.





3, Calendario mal elaborado con cruce de

fechas4. Mala programación

del calendario académico con cruce

de fechas.

2, Información registrada

erróneamente en el sistema y diferente a la contenida en los documentos del

PROBABILIDAD IMPACTO


RIESGOS EXTERNOSPROCESO

13



PROBABILIAD IMPACTO



Identificación de riesgos en el Plan de Desarrollo Institucional




OBJETIVO INSTITUCIONAL: 5. MODERNIZACIÓN ADMINISTRATIVA -PLAN DE DESARROLLO DEL CENTRO -



14

xAREA MISIONAL

RIESGOS INTERNOSPROBABILIAD IMPACTO


UNIVERSIDAD TECNOLÓGICA DE PEREIRA

Mapa de riesgos Plan de Desarrollo InstitucionalDEPENDENCIA: FACULTAD: CENTRO: REGISTRO Y CONTROL ACADEMICO

AREA DE SOPORTE Y GESTIÓNOBJETIVO INSTITUCIONAL: 5. MODERNIZACIÓN ADMINISTRATIVA -PLAN DE DESARROLLO DEL CENTRO -





TIEMPO INDICADORES

Formato No 5

FECHA: RESPONSABLE DEL MAPA DE RIESGO:

CONTROLES EXISTENTE

SNIVEL ACCIONES RESPONSABLE

15

xAREA MISIONAL

RIESGOS INTERNOSPROBABILIAD IMPACTO

UNIVERSIDAD TECNOLÓGICA DE PEREIRA

Mapa de riesgos Procesos y procedimientosDEPENDENCIA: FACULTAD: CENTRO: REGISTRO Y CONTROL ACADEMICO

AREA DE SOPORTE Y GESTIÓNOBJETIVO INSTITUCIONAL: 5. MODERNIZACIÓN ADMINISTRATIVA -PLAN DE DESARROLLO DEL CENTRO -


RIESGOS EXTERNOSPROCEOS Y/O PROCEDIMIENTOSTIEMPO INDICADORES

Formato No 6

FECHA: RESPONSABLE DEL MAPA DE RIESGO:

CONTROLES EXISTENTE

SNIVEL ACCIONES RESPONSABLE

Ejemplo de implementación mapa de riesgos

Documents

Transcript of Ejemplo de implementación mapa de riesgos